Az Apple Find My Network egy hatékony eszköz az eszközök helyének nyomon követésére, de jelentős biztonsági rés, amelyet még nem javítottak. A George Mason Egyetem kutatói felfedezték, hogy a hálózat szinte bármilyen Bluetooth -eszköz – nem csak egy Airtag vagy iPhone – nyomon követésére használható fel az Apple hálózatának és az eszköz Bluetooth -címének kombinációján keresztül.
“Olyan, mintha bármilyen laptop, telefon vagy akár játékkonzol almává alakulna – anélkül, hogy a tulajdonos valaha is észrevette volna” – mondta Junming Chen vezető szerzője. “És a hacker mindezt távolról, több ezer mérföld távolságban, csak néhány dollárral meg tudja csinálni.”
A kizsákmányolás megértéséhez meg kell értenie, hogyan működik a hálózatom. Vegyünk példaként egy airtagot; A közeli Apple -eszközöket Bluetooth -jelzéssel ellátja, és ezt a jelet névtelenül elküldik az Apple felhőbe. A kizsákmányolás kulcsa ebben a névtelenségben rejlik.
Jesse Hollington / Digital Trends / Apple
Mivel a Find My Network a titkosított adatokra támaszkodik, nem pedig az adminisztratív jogosultságokra, a kutatók képesek voltak egy kulcsot felépíteni, amely a menet közben alkalmazkodik. „Nroottag” -nak nevezték el, és a félelmetes rész az, hogy 90% -os sikerességi rátával rendelkezik.
Kérjük, engedélyezze a JavaScript -t a tartalom megtekintéséhez
A csapat az eszközök széles skáláján kipróbálta a kizsákmányolást a zavaró siker érdekében. Megállapították a számítógép helyét 10 lábon belül, és azonosították a repülőgép repülési útját (és számát) egy játékkonzol nyomon követésével, amelyet az utas a fedélzeten vett.
Noha a kísérlet kiemeli a Find My Network erejét, azt is szemlélteti, hogy a rossz színész milyen könnyen hozzáférhet az érzékeny információkhoz. Az Airtags -ot a múltban használják az emberek nyomon követésére – az Apple egyik oka annak, hogy a hangszórót keményebbé tegye az Airtag 2 -ben – de a Nroottag ezen túlmutat. A csapat a VR headset -eket, intelligens TV -ket és számos más eszközt nyomon követte, viszonylag könnyedén.
Alma
Qiang Zeng, a kutatócsoport másik tagja kiemelte a különösen szörnyű felhasználást. „Noha ijesztő, ha az intelligens zárat feltörik, sokkal szörnyűbbé válik, ha a támadó is ismeri a helyét. Az általunk bevezetett támadási módszerrel a támadó ezt elérheti. ”
A csapat 2024 júliusában figyelmeztette az Apple -t a biztonsági hibáról, és a cég azóta elismerte azt a frissítési jegyzetekben. Ugyanakkor nem került sor javításra. A kizsákmányolás kihasználja a Find My Network alapvető funkcionalitását, és olyan javítás bevezetése, amely nem befolyásolja a helykövetési funkciókat-a csapat szerint potenciálisan évekig tart.
Ami időközben a teendőket illeti, Chen azt javasolja, hogy az összes eszközt és szoftvert naprakészen tartsák, és figyeljenek bármit, ami a Bluetooth engedélyt kéri, különösen, ha az alkalmazásnak nincs rá szüksége.
